364
Малварь три года оставалась незамеченной в Google Play и маскировалась под System Update.
51 Комментарий в Информационная безопасность  

Специалисты компании Zscaler обнаружили в Google Play очередную малварь. И хотя вредоносы проникают в официальный каталог приложений с завидной регулярностью, как правило, они не задерживаются там надолго, в конечном счете, их обнаруживают либо сторонние исследователи, либо сами инженеры Google. Однако приложение System Update – это определенно не такой случай.



Исследователи сообщают, что System Update относится к шпионскому семейству SMSVova, и вредонос продержался в Google Play рекордные три года, появившись еще в 2014 году. В результате приложение успели скачать 1 000 000 – 5 000 000 раз, невзирая даже на тот факт, что описание приложения ограничивалось пустым белым скриншотом и строкой текста: «это приложение обновит и активирует специализированные функции, связанные с местоположением».

Малварь три года оставалась незамеченной в Google Play и маскировалась под System Update. вирус, Android, длиннопост

Отзывы тоже нельзя было назвать положительными: большинство пользователей замечали подозрительное поведение System Update, потому как с их точки зрения приложение не делало ничего и попросту пропадало с экрана устройства сразу после первого запуска (не забыв продемонстрировать сообщение об ошибке).

Малварь три года оставалась незамеченной в Google Play и маскировалась под System Update. вирус, Android, длиннопост
Малварь три года оставалась незамеченной в Google Play и маскировалась под System Update. вирус, Android, длиннопост

Как уже было сказано выше, на самом деле это «системное обновление» представляло собой спайварь SMSVova. Во время первого запуска малварь активировала в фоновом режиме собственный Android-сервис и BroadcastReceiver, после чего шпионила за географическим местоположением пользователей, сохраняя эти данные в Shared Preferences.



Злоумышленники имели возможность наблюдать за входящими SMS-сообщениями через BroadcastReceiver, в частности, малварь искала в них строки vova- и get faq. Так, если атакующий присылал на скомпрометированный девайс сообщение с командой get faq, зараженное устройство отвечало списком команд, которые может выполнить. Все команды также передавались посредством SMS, с уже упомянутым префиксом vova-. К примеру: vova-set user password:’newpassword’.

Малварь три года оставалась незамеченной в Google Play и маскировалась под System Update. вирус, Android, длиннопост

Малварь могла сообщить своим операторам не только данные о местоположении пользователя, но и сменить пароль устройства. Зачем именно злоумышленникам понадобились данные о геолокации, исследователи не уточняют, но пишут, что такая информация может быть использована «во множестве вредоносных сценариев».



Изучив исходные коды вредоноса, исследователи Zscaler пришли к выводу, что, возможно, это ранняя версия малвари DroidJack RAT – одного из наиболее известных троянов удаленного доступа для Android. Напомню, что DroidJack RAT появился в том же 2014 году и был основан на легитимном приложении Sandroid, которое по-прежнему доступно в официальном каталоге.

Малварь три года оставалась незамеченной в Google Play и маскировалась под System Update. вирус, Android, длиннопост

Судя по тому, что приложение System Update не обновлялось с декабря 2014 года, а также принимая во внимание его сходство с DroidJack RAT, аналитики предполагают, что это была одна из первых, тестовых попыток злоумышленников, когда они только проверяли, как можно обойти фильтры Google Play и пробраться в каталог приложений.

https://xakep.ru/2017/04/21/so-much-faked-system-update/

+50
corvuscor отправлено
vova
+22
 Rakiska отправил

Vova! Get faq!

+3
 BagetBagetov отправил

Vova fag!

+15
 Ser4ao отправил

Как выявить? Как удалить?

+6
 EpicMorg отправил
Как выявить?
1. Как минимум, появится приложение в общем списке с названием
System Update

и значком со скринов.


2. В пакетных менеджерах можете проверить имя пакета. У данного вредоноса имя будет

com.service.locationservice

3. В маркете, заходя на страницу этого приложения имя пакета будет совпадать и маркет будет говорить что оно установлено.


4. Прогнать тем же доктором вебом (лучше не free-версией) или другим антивирусом.


Как удалить?

Способы:

1. Через маркет (исходя из п3 выше).

2. Через пакетный менеджер.

Update: Вот тут более прошаренный ответ: #comment_85943594



Это всё исходя из информации из поста, если я правильно понял вопрос про само приложение.

+1
 Dionisnation отправил

Только недавно эту гадину убил со смартфона девушки. Падла взялась непонятно откуда

+14
tonygluk отправил

Как вообще приложение с названием "System Update" прошло модерацию в магазин?

+23
 Repuuaaaaaa отправил
Какую модерацию?
+3
tonygluk отправил

А, ну раз модерации нет, то и вопросов у меня нет :)

раскрыть ветвь 1
+9
NIKENIT отправил

Также, как и китайская игра Legion с Иллиданом на картинке (как-раз к релизу WoW:Legion) и сотней пизженных персонажей из всевозможных игр. В гуглплее нет модерации, ЕСЛИ ты не "нарушаешь права" Disney и еще пары отбитых копирайт-агрессоров типа Nintendo или Capcom. А, и еще китайцам можно вообще все, они там боги.

+3
 Dreadgotch отправил

Щас бы из ГУГЛПЛЕЯ ставить СИСТЕМАПДЕЙТ люди вы больны?

+3
Horngasm отправлено
Что интересно, оно делает именно то, что написано.
+5
loginGinGin отправлено

я не понимаю, среди миллиона людей ни один не заметил, что приложение запрашивает права на прием\отправку смс и изменение каких-то системных параметров?? Как такое приложение там могло столько держаться

+16
Vasiolan отправил

Если почитать комментарии под каждым приложением, то сразу бросается в глаза, что большинство пишущих скажем так необразованные.

ещё комментарии
+2
 Q0001 отправил

Я не понимать! Слишком сложно.

Какой человек и с какой целью будет качать приложение от хз какого разработчика с таким названием?

+2
 OldGarry отправил

Я ее руками выковыривал у многих...

+8
 Ktulxueb отправлено
Ну так сруби плюсцов,расскажи народу как это делать
+11
xVatsonx отправил

он вместе с телефоном выковыривал.

если расскажет, то это статья.

+8
 OldGarry отправил
А чего рубить? Все давно есть в сети.

1) Нужен рут системы. Тут нет универсального мана.

2) Если рутовано удачно- ставишь Disable Service (мне больше всего удачно срабатывал) или аналог.

2) Убиваешь тот сервис и потом любым файловым менеджером удаляешь.
3) Для надежности- перезагрузки мало, надо полный вайп с возвратом на заводские сделать что бы убедится что зловреды не прописались вместе с рекавери.

раскрыть ветвь 15
0
 udavf отправлено

4pda в помощь

0
 Takihara отправлено
О, ловила я такую хрень. Правда, она качалась сама, без каких-либо действий с моей стороны, во время переписки в ВК. Учитывая, что системные апдейты у меня качаются в том же виде - ну, разрешила установку, фигли нет. Установилось оно и повесило на рабочий стол значок второго гугл плея и незакрываемую рекламу. Снесла за пять минут, потом проследила, откуда эта фигня вылезла - оказалось, что докачивалась после установки какой-то игрушки.
0
 Naummen отправил

как можно почистить свой телефон от рекламных блоков и прочего шлака?

лайтовый и полный др.веб просто регулярно удаляют вирусы но ничего не меняется

+3
 Semideum отправил
Ребут и форматирование флэшки, а позже следи за тем что качаешь на смарт.
0
 selissi отправлено

Мне помогла перепрошивка.

0
 bogacho отправил

Оставался незамеченным или его просто не хотели замечать? System Update!?

-1
user00000001 отправлено

Кстати а что именно делает Malware?

-2
 Wheelierider отправил
Почитал комменты и чуть айфон из рук не выронил. Ужас ваши ети андроиды.
+4
 eckoable отправил

1 января 1970 года

+2
 eckoable отправил

Power

لُلُصّبُلُلصّبُررً ॣ ॣh ॣ ॣ


-4
paNicksyndrome отправлено
Они че,бессмертные vova в префикс ставить ?!или типа если че мы с ним,не отслеживаем вас,а приглядываем за Вами!
ещё комментарии


Пожалуйста, войдите в аккаунт или зарегистрируйтесь